// docs / baas security / umbrella scanner
BaaS-misskipansskannari: finn almennar dátu-leiðir áðrenn brúkarar gera
Backend-as-a-Service-veitarar — Supabase, Firebase, Clerk, Auth0, Appwrite, Convex — bresta trygd allir í somu formini: pallurin sendir skilagóðar standardar, menningarmaðurin (ella AI-kotuamboðið) tekur eina snarferð, og ein almenn leið letur upp millum ein óvátt árásarmann og kunda-dátur. Ein BaaS-misskipansskannari er hin einasta amboð, sum royndar ta leið uttanífrá á sama hátt, sum árásarmaður vildi gjørt. Henda greinin kortleggur hinar fimm endurkomandi misskipansflokkarnar, greiðir frá, hvussu hin FixVibe regnhvølvs-BaaS-skanning virkar, samanber hinir fýra størstu veitararnar og samanber hin BaaS-vitandi skannara við vanlig DAST-amboð.
Hví BaaS-misskipanir hava ein endurkomandi form
Hvør BaaS-pallur fylgir somu arkitektur: ein førari backend við einum tunnum klient-SDK, sum tosar við hann frá kagaranum. Hin kagara-vendi klienturin hevur tørv á einum rættindi — ein anon-lykil, ein almennur lykil, ein Firebase-projekt-ID — at eyðmerkja seg fyri backendinum. Tað rættindi er við ætlan almennt; trygd arkitektursins hongur um, at pall-stigs atgongdsstýring (RLS, reglur, loyvi-listar) ger sítt arbeiði.
AI-kotuamboð byggja oman fyri henda arkitektur uttan at innfevna pall-stýringar-lagið. Tey skipa klient-SDK rætt, góðtaka pallsins standardar loyvandi reglur (sum eru til fyri læristøð-vinaligheit) og avgreiða. Hin endurkomandi formurin er: almenn rættindi + loyvandi standard regla + vantandi yvirskriving = dátu-avdúkan. Hinir fimm misskipansflokkar niðanfyri eru allir variantar av hesum formi.
Hinir fimm endurkomandi misskipansflokkar
Hesi koma fram yvir hvønn BaaS-veitara. Ein full skanning fevnir um alla fimm ímóti hvørjum veitara í brúki:
Flokkur 1: Skeivur lykil í kagara-bunkanum
Kagarin sendur loyndar/admin-lykilin (Supabase service_role, Firebase Admin SDK privatlykil, Clerk sk_*, Auth0 klient-loyndarmáli) í staðin fyri tann almenna/anon-samsvarandi. Kagarin verður ein óavmarka admin-klientur. Fevnt um av FixVibes bundle-secrets-eftirkanning.
Flokkur 2: Atgongdsstýrings-lag deaktiverað ella loyvandi
RLS er sløkt, Firebase-reglur eru if true, Auth0-callback-listin er vild-tegnað. Rættindi í kagaranum er hin rætta — men pall-stigs markið, sum skuldi avmarka hann, ger ikki sítt arbeiði.
Flokkur 3: Anonymar lesturmaður av viðkvomum tilfeingi
Anon-lesilig Firestore-collections, anon-listanligar Supabase-goymslubøttur, anon-tilkomuligur Auth0 management-API. Skanningin spyr: "uttan nakar rættindi, hvat kann eg lesa?"
Flokkur 4: Royndarmodul-restir í framleiðslu
Royndar-lyklar (pk_test_*, sb_test_*) í einari framleiðslu-deploying; dev-modul Firebase-appir ráligar frá hini lívandi domena; royndar-leigara Auth0-appir við veikari stillingum enn framleiðsla. Skanningin samanber runtime-lyklar ímóti hinum væntaðu framleiðslu-forsetningum.
Flokkur 5: Webhook-undirskrift-vátting vantar
Clerk-webhooks, Stripe-webhooks, Supabase-webhooks undirskriva øll sínar nyttulastir. Ein handfarari, sum váttar ikki undirskriftina, er ein dátugrunn-skriva-amboð fyri hvønn árásarmann, sum gátar URL'in. Uppgøtað gjøgnum svar-form — ein óundirskrivaður fyrispurningur, sum fær 200 aftur, merkir at vátting verður sleppt undan.
Hvussu hin FixVibe regnhvølvs-BaaS-skanning virkar
FixVibes BaaS-stig koyrir í trimum trinum, hvørt sum framleiðir ymisk findings:
- <strong>Stage 1 — provider fingerprinting.</strong> The scanner crawls the deployed app, parses every JavaScript chunk, and identifies which BaaS providers the app uses. Each provider has a distinctive runtime signature: Supabase uses <code>*.supabase.co</code>; Firebase uses <code>firebase.initializeApp({ projectId: ... })</code>; Clerk uses <code>pk_*</code> keys with a known prefix; Auth0 uses <code>clientId</code> and <code>domain</code>. The scanner records which providers are present and extracts the project identifiers.
- Stig 2 — veitara-serligar rannsóknir. Fyri hvønn uppgøtaðan veitara koyrir skannarin hin veitara-serliga eftirkanning:
baas.supabase-rlsroyndar PostgREST;baas.firebase-rulesroyndar Firestore + RTDB + Storage;baas.clerk-auth0váttar forsetning av bunkaðum lyklum; bundle-secrets-eftirkanningin váttar at ongi service-stigs rættindi lekkaðu. Hvør rannsókn koyrir óheft — ein Supabase-finding blokkar ikki Firebase-skanningina. - Stig 3 — kross-veitara samanseting. Skannarin kross-vísir á findings. Ein lekan Supabase service-role-lykil saman við vantandi RLS er meiri álvarsamur enn nakra finding annars — fráboðanin lýsir hetta. Fleiri samleiksveitarar (Clerk + Auth0 + sergjørd váttan) í somu app er ein strukturell finding merkt fyri kanning.
Hvør rannsókn er passiv: í mesta lagi ein anonymur lestur per tilfeingi, við svar-form skráseta men røð-innihaldi ongantíð pageinerað ella goymd. Skriva- og broytar-rannsóknir eru avmarkaðar bak váttað domena-ogandi — tær koyra aldri móti óváttaðum málum.
Hvat skannarin finnur per veitara
Hvør BaaS-veitari hevur eina ymiska yvirflatu og eina ymiska skanning-stratu. Her er fevnt um:
- Supabase: vantandi RLS á talvum, anon-listanligar goymslubøttur, lekan
service_role-JWT ellasb_secret_*-lykil í bunka, avdúka skemur gjøgnum anonyma OpenAPI-listing. Sí Supabase RLS-skannara og Goymsluartiklin. - Firebase:
if true-reglur á Firestore, Realtime Database og Cloud Storage; anon-listanligar Storage-bøttur; vantandi App Check-framtvinging. Sí Firebase reglu-skannara og If-true reglu-greinari. - Clerk: bunkaðir
sk_*-loyndar-lyklar,pk_test_*í framleiðslu, vantandi webhook-undirskrift-vátting, vild loyvdar uppruna. Sí Clerk-listan. - Auth0: bunkað klient-loyndarmáli, Implicit-veitingar virkjaðar, vild callback / útskrivar-URL'ar, vantandi PKCE á SPA'um. Sí Auth0-listan.
Hvussu ein BaaS-skannari verður samanborin við vanlig DAST- og SAST-amboð
Ein BaaS-vitandi skannari ger serligt arbeiði, sum onnur amboð ikki gera. Samanberin:
| Atlit | FixVibe (BaaS-vitandi DAST) | Vanlig DAST (Burp / ZAP) | SAST / SCA (Snyk / Semgrep) |
|---|---|---|---|
| BaaS-fevningur | Innbygdar eftirkanningar fyri Supabase, Firebase, Clerk, Auth0, Appwrite | Vanligt web-crawl; ongar veitara-serligar rannsóknir | Statisk analysi av repo bert; ongin framleiðslu-vátting |
| Uppskipanar-tíð | URL → koyr → úrslit á 60 sekundum | Tímar: skipa spider, váttan, fevning | Dagur: samanset í repo-CI |
| Hvat hon prógvar | Framleiðslu-runtime avdúkan við HTTP-stigs prógvi | Web-app veikleikar (XSS, SQLi); BaaS gjøgnum handfarna skipan | Kotu-mynstur, sum kanska verða deployað ella ikki |
| JavaScript bunka-skoðan | Avkodar JWTs, samsvarar loyndarmáls-forsetningar, gongur gjøgnum bitar | Avmarkað — streng-baserað grep bert | Ja, men bert repo-síðu, ikki deployað |
| Varandi skanning | Mánaðarliga / við deploying gjøgnum API + MCP | Handfarið; skipa rok sjálv | Per-commit (gott fyri kotu, blint fyri runtime) |
| Prísur fyri einsamallan / lítið lag | Ókeypis støði; gjald frá $19/mán | Burp Pro $499/ár; ZAP ókeypis men nógvar falskar findings | Snyk ókeypis / Semgrep ókeypis; gjøld frá $25/menningarmanni |
Ærligur fevningur: hvat henda skannari skiftir ikki út
Ein BaaS-vitandi DAST-skannari er eitt einbeint amboð, ikki ein fult trygdarætlan. Hon ger ikki:
- Skifti SAST ella SCA út. Statisk analysi finnur háttarins-CVEar (Snyk, Semgrep) og kotu-stigs veikleikar (SonarQube), sum ein DAST-skannari ikki kann. Koyr báðar.
- Skifti handfarna penetratiónsroynd út. Ein menniskja pentester finnur viðskifta-loikvni-feilir, rættindis-mark-tilburðir og kjeðu-veikleikar, sum eingin skannari kann. Bilegg ein pentestera fyri ein stóran lansering ella eftirlivilsis-endurskoðan.
- Endurskoða tína kotu ella repo fyri loyndarmáli í git-søgu. Bundle-secrets-eftirkanningin fevnir um, hvat er verandi deployað, ikki hvat er søguliga commitað. Brúk
git-secretsellagitleaksfyri repo-reinlívi. - Fevni um ikki-BaaS backend-tænastur. Um tín app brúkar ein sergjørdan backend (Express, Rails, Django, FastAPI), skannar FixVibe hennara HTTP-yvirflatu men royndar ikki dátugrunnin ella infrastrukturin afturum. Tað er vanlig DAST + SAST øki.
Ofta settir spurningar
Virkar regnhvølvs-skanningin, um mín app brúkar tveir BaaS-veitarar (t.d. Supabase + Clerk)?
Ja — veitara-fingraavrygging og per-veitara rannsóknir eru óheftar. Skannarin uppgøtar báðar, koyrir báðar eftirkanningar og fráboðar kross-veitara samanseting (t.d. eina Supabase-JWT-skabeln frá Clerk, sum sendur email sum krøv saman við vantandi RLS).
Hvussu er hetta ymiskt frá at koyra Burp Suite Pro móti tíni app?
Burp er ein vanligur DAST-arbeiðsbenkur. Beint úr eskinum veit Burp ikki, hvat PostgREST, Firestore ella Auth0-callback-leiðin er — tú mást handfarið skipa fevning, skriva víðkanir og tulka svør. FixVibe kemur við innbygdum BaaS-rannsóknum og BaaS-formaðari prógv-formatering. Burp vinnur á vanligu web-app-fevningi (XSS, SQLi, viðskifta-loikvni); FixVibe vinnur á BaaS-serligum findings.
Hvat um App Check (Firebase) ella attestering (Apple / Google)?
App Check gerur tilvilja uttarligar skanningar at koma aftur við 403 á hvørjari rannsókn — rætta úrslitið fyri illviljandi bot. Ein FixVibe-skanning frá einum óattesteraðum klienti atfórast somu vegin. Um tú hevur App Check virkjaðan og FixVibe enn fráboðar findings, merkir tað, at tínar reglur eru opnar eisini fyri attesteraðar klientar, sum er hin veruligi váðin. App Check + rættar reglur er verji-í-dýpti-mynstrið.
Kann skannarin vátta mín fix?
Ja — koyr aftur eftir at fixa er løgd á. Eftirkanningar-ID'arnir (t.d. baas.supabase-rls) eru støðugar yvir koyringar, so tú kanst diffa findings: ein finding, sum var opin í koyring 1 og burtur í koyring 2, er prógv, at fixin lendi.
Næstu stig
Koyr eina ókeypis FixVibe-skanning móti tíni framleiðslu-URL — BaaS-stigs eftirkanningarnar koyra á hvørjari ætlanini, eisini hinari ókeypis. Fyri veitara-serligar djúp-tilfeingjar fevna hinar einstøku greinar í hesum parti um hvønn veitara í einstaki: Supabase RLS, Supabase service-lykil avdúkan, Supabase goymsla, Firebase reglur, Firebase if-true, Clerk og Auth0.